pdo預編譯防止字元串拼接

1. php中用參數傳遞的pdo查詢語句怎麼寫

方法 bindParam() 和 bindValue() 非常相似。
唯一的區別就是前者使用一個PHP變數綁定參數，而後者使用一個值。
所以使用bindParam是第二個參數只能用變數名，而不能用變數值，而bindValue至可以使用具體值。
復制代碼 代碼如下:

$stm = $pdo->prepare("select * from users where user = :user");
$user = "jack";
//正確
$stm->bindParam(":user",$user);
//錯誤
//$stm->bindParam(":user","jack");
//正確
$stm->bindValue(":user",$user);
//正確
$stm->bindValue(":user","jack");

另外在存儲過程中，bindParam可以綁定為input/output變數，如下面：
復制代碼 代碼如下:

$stm = $pdo->prepare("call func(:param1)");
$param1 = "abcd";
$stm->bindParam(":param1",$param1); //正確
$stm->execute();

存儲過程執行過後的結果可以直接反應到變數上。
對於那些內存中的大數據塊參數，處於性能的考慮，應優先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
參數化查詢
參數化查詢（Parameterized Query 或 Parameterized Statement）是指在設計與資料庫連結並訪問數據時，在需要填入數值或數據的地方，使用參數 (Parameter) 來給值，這個方法目前已被視為最有效可預防sql注入攻擊 (SQL Injection) 的攻擊手法的防禦方式。有部份的開發人員可能會認為使用參數化查詢，會讓程序更不好維護，或者在實現部份功能上會非常不便[來源請求]，然而，使用參數化查詢造成的額外開發成本，通常都遠低於因為SQL注入攻擊漏洞被發現而遭受攻擊，所造成的重大損失。
除了安全因素，相比起拼接字元串的 SQL 語句，參數化的查詢往往有性能優勢。因為參數化的查詢能讓不同的數據通過參數到達資料庫，從而公用同一條 SQL 語句。大多數資料庫會緩存解釋 SQL 語句產生的位元組碼而省下重復解析的開銷。如果採取拼接字元串的 SQL 語句，則會由於操作數據是 SQL 語句的一部分而非參數的一部分，而反復大量解釋 SQL 語句產生不必要的開銷。
目錄
* 1 原理
* 2 SQL 指令撰寫方法
o 2.1 Microsoft SQL Server
o 2.2 Microsoft Access
o 2.3 MySQL
o 2.4 PostgreSQL/SQLite
* 3 客戶端程序撰寫方法
o 3.1 ADO.NET
o 3.2 PDO
o 3.3 JDBC
o 3.4 Cold Fusion
[編輯] 原理
在使用參數化查詢的情況下，資料庫伺服器不會將參數的內容視為SQL指令的一部份來處理，而是在資料庫完成 SQL 指令的編譯後，才套用參數運行，因此就算參數中含有具破壞性的指令，也不會被資料庫所運行。
[編輯] SQL 指令撰寫方法
在撰寫 SQL 指令時，利用參數來代表需要填入的數值，例如：
[編輯] Microsoft SQL Server
Microsoft SQL Server 的參數格式是以 "@" 字元加上參數名稱而成，SQL Server 亦支持匿名參數 "?"。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)
[編輯] Microsoft Access
Microsoft Access 不支持具名參數，只支持匿名參數 "?"。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[編輯] MySQL
MySQL 的參數格式是以 "?" 字元加上參數名稱而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[編輯] PostgreSQL/SQLite
PostgreSQL 和 SQLite 的參數格式是以 「:」 加上參數名而成。當然，也支持類似 Access 的匿名參數。
UPDATE "myTable" SET "c1" = :c1, "c2" = :c2, "c3" = :c3 WHERE "c4" = :c4
[編輯] 客戶端程序撰寫方法
在客戶端代碼中撰寫使用參數的代碼，例如：
[編輯] ADO.NET
ADO.NET用於ASP.NET之內。
SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); // 設定參數 @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); // 設定參數 @c2 的值。
sqlcmd.Parameters.AddWithValue("@c3", 3); // 設定參數 @c3 的值。
sqlcmd.Parameters.AddWithValue("@c4", 4); // 設定參數 @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[編輯] PDO
PDO用於PHP之內。 在使用 PDO 驅動時，參數查詢的使用方法一般為：
復制代碼 代碼如下:

// 實例化數據抽象層對象
$db = new PDO('pgsql:host=127.0.0.1;port=5432;dbname=testdb');
// 對 SQL 語句執行 prepare，得到 PDOStatement 對象
$stmt = $db->prepare('SELECT * FROM "myTable" WHERE "id" = :id AND "is_valid" = :is_valid');
// 綁定參數
$stmt->bindValue(':id', $id);
$stmt->bindValue(':is_valid', true);
// 查詢
$stmt->execute();
// 獲取數據
foreach($stmt as $row) {
var_mp($row);
}
[code]
對於 MySQL 的特定驅動，也可以這樣使用：
$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();
值得注意的是，以下方式雖然能有效防止 SQL注入 （歸功於 mysql_real_escape_string 函數的轉義），但並不是真正的參數化查詢。其本質仍然是拼接字元串的 SQL 語句。
[code]
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);

[編輯] JDBC
JDBC用於java之內。
java.sql.PreparedStatement prep = connection.prepareStatement(
"SELECT * FROM `users` WHERE USERNAME = ? AND PASSWORD = ?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
[編輯] Cold Fusion
<cfquery name="Recordset1" datasource="cafetownsend">
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">
</cfquery>

2. 請教關於php中使用pdo進行mysql語句的預處理來防止注入的問題

$pdo=newPDO(//配置);
$sql='=:condition';
$r=$pdo->prepare($sql);
$r->execute(array(':condition'=>$param));

//這里把參數直接以數組的形式傳進去，其餘工作prepare會自動幫你完成
//prepare的工作就是預先處理sql語句預防可能出現的注入，不然怎麼會叫預處理呢

3. 請教php中關於使用pdo進行SQL語句的預處理防止注入的問題

$pdo = new PDO("mysql:host=192.168.0.1;dbname=test;charset=utf8","root");
$st = $pdo->prepare("select * from info where id =? and name = ?");

$id = 21;
$name = 'zhangsan';
$st->bindParam(1,$id);
$st->bindParam(2,$name);

$st->execute();
$st->fetchAll();
基本示例，我想你一看就明白了，望採納。

4. PHP PDO驅動問題，怎麼解決

最簡單的方法把這個預編譯寫法是把SQL指令預先放到SQL伺服器，命令執行的時候在動態的傳遞數據

這個寫法的一個好處是安全，防止SQL注入，因為放了一個問號，就已經表示那是數據而不是一個SQL可執行的語句

第二個好處是可以一次編譯多次執行，在執行多個相似操作的時候，會加快SQL的速度，降低SQL伺服器的負擔就這樣試試吧，如果你對php有興趣的話，可以向我一樣在後盾人平台多看看自己學習學習，時間長了自己就慢慢明白了，希望能幫到你，給個採納吧謝謝o(〒㉨〒)o

5. php thinkphp pdo 連接方式，獲取的數據都默認為字元串類型了，怎麼辦

什麼怎麼辦，你需要完全可以轉換成你需要的格式，而且這個跟你資料庫是的欄位類型有關吧。

6. PDO中的預處理對象有什麼意義與作用

程序設計領域中，預處理一般是指在程序源代碼被翻譯為目標代碼的過程中，生成二進制代碼之前的過程。典型地，由預處理器(preprocessor) 對程序源代碼文本進行處理，得到的結果再由編譯器核心進一步編譯。這個過程並不對程序的源代碼進行解析，但它把源代碼分割或處理成為特定的單位——（用C/C++的術語來說是）預處理記號(preprocessing token)用來支持語言特性（如C/C++的宏調用）。

7. pdo query方法有沒有防止sql注入的功能

pdo query方法有沒有防止sql注入的功能
傳統的mysql_connect 、mysql_query方法存在很多注入風險,而使用PDO預處理機制可以有效的防止SQL注入風險。

8. 有關php,pdo中的問題：setAttribute(PDO:ATTR_ERRMODE,PDO:ERRMODE_EXCEPTION)含義解釋

綁定變數，防SQL注入
『:country』 對應欄位
$country 對變數
PDO::PARAM_STR 對類型字元串

9. Warning: PDO::__construct() expects parameter 4 to be array, string given in 報錯 請教下是什麼問題

string必需。規定要檢查的字元串。提示：該函數可用於為存儲在資料庫中的字元串以及資料庫查詢語句准備合適的字元串。注釋：默認情況下，PHP指令magic_quotes_gpc為on，對所有的GET、POST和COOKIE數據自動運行addslashes()。不要對

10. 為什麼 PHP 應該使用 PDO 方式訪問資料庫

很多程序員都學習過如何使用 MySQL 或 MySQLi 擴展訪問資料庫。在 PHP 5.1 中，有一個更好的方法。PHP Data Objects(PDO) 提供了很多預處理語句的方法，且使用對象將使你的工作更有成效！

PDO 介紹

「PDO – PHP Data Objects – 是一個對多種資料庫提供統一操作方法的資料庫訪問層。」

它並不具備資料庫特有的語法，但它將使切換資料庫和平台更加容易，多數情況下，只需要簡單修改鏈接字元串。

這並非一篇完整教導如何使用SQL的教程。它重要為那些現今仍在使用 mysql 或 mysqli 擴展的人，幫助他們躍至更具可移植性和強力的 PDO。

資料庫支持

此擴展可以使用 PDO 驅動編寫過的所有資料庫。在本文書寫時，下面的資料庫支持已經實現：

PDO_DBLIB ( FreeTDS / Microsoft SQL Server / Sybase )

PDO_FIREBIRD ( Firebird/Interbase 6 )

PDO_IBM ( IBM DB2 )

PDO_INFORMIX ( IBM Informix Dynamic Server )

PDO_MYSQL ( MySQL 3.x/4.x/5.x )

PDO_OCI ( Oracle Call Interface )

PDO_ODBC ( ODBC v3 (IBM DB2, unixODBC and win32 ODBC) )

PDO_PGSQL ( PostgreSQL )

PDO_SQLITE ( SQLite 3 and SQLite 2 )

PDO_4D ( 4D )

你的系統不會也不必支持所有上面的驅動；下面是一個快速檢查所支持資料庫的方法：

1 print_r(PDO::getAvailableDrivers());

連接

不同資料庫的連接方法可能稍有不同，下面是一些較為流行的資料庫連接方法。你將注意到，雖然資料庫類型不同，前三種資料庫的連接方式是相同的——而 SQLite 使用自己的語法。

Connection String

01 try {

02 # MS SQL Server andSybase with PDO_DBLIB

03 $DBH = newPDO("mssql:host=$host;dbname=$dbname, $user, $pass");

04 $DBH = newPDO("sybase:host=$host;dbname=$dbname, $user, $pass");

05

06 # MySQL with PDO_MYSQL

07 $DBH = newPDO("mysql:host=$host;dbname=$dbname", $user, $pass);

08

09 # SQLite Database

10 $DBH = newPDO("sqlite:my/database/path/database.db");

11 }

12 catch(PDOException $e) {

13 echo$e->getMessage();

14 }

注意 try/catch 塊——你應該總是使用 try/catch 包裝你的 PDO 操作，並使用異常機制——這里只是簡單的示例。通常，你只需要一個連接——有很多可以教你語法的列表。 $DBH 代表「資料庫句柄」，這將貫穿全文。

通過將句柄設置為 NULL，你可以關閉任一連接。

1 # close the connection

2 $DBH = null;

你可以在PHP.net找到更多資料庫特定選項和/或其它資料庫連接字元串的信息。

異常與 PDO

PDO 可以使用異常處理錯誤，這意味著你的所有 PDO 操作都應當包裝在一個 try/catch 塊中。你可以通過設定錯誤模式屬性強制 PDO 在新建的句柄中使用三種錯誤模式中的某一個。下面是語法：

1 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_SILENT );

2 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING );

3 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

無論你設定哪個錯誤模式，一個錯誤的連接總會產生一個異常，因此創建連接應該總是包裝在 try/catch 塊中。

PDO::ERRMODE_SILENT

這是默認的錯誤模式。如果你使用這個模式，你將得使用同 mysql 或 mysqli 擴展一樣的方法差錯。其它兩種模式更適合 DRY 編程。

PDO::ERRMODE_WARNING

此方法將會發出一個標准PHP警告，並允許程序繼續運行。這對調試很有幫助。

PDO::ERRMODE_EXCEPTION

這是多數情況下你所希望的方式。它生成異常，允許你更容易的處理錯誤，隱藏可能導致它人了解你系統的信息。下面是一個充分利用異常的示例：

01 # connect to the database

02 try {

03 $DBH = newPDO("mysql:host=$host;dbname=$dbname", $user, $pass);

04 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

05

06 # UH-OH! Typed DELECT instead of SELECT!

07 $DBH->prepare('DELECT name FROM people');

08 }

09 catch(PDOException $e) {

10 echo"I'm sorry, Dave. I'm afraid I can't do that.";

11 file_put_contents('PDOErrors.txt', $e->getMessage(), FILE_APPEND);

12 }

在 select 語句中有一個故意留下的錯誤；這將導致一個異常。異常錯誤細節保存至一個 log 文件，並生成一段友好的（或不怎麼友好的）信息於用戶。

插入和更新

插入新數據，更新已存數據是一種非常常見的資料庫操作。使用 PDO，這通常需要兩個步驟。本節中所述的所有內容對更新和插入都有效。

這里有一個最基本的插入示例：

1 # STH means "Statement Handle"

2 $STH = $DBH->prepare("INSERT INTO folks ( first_name ) values ( 'Cathy' )");

3 $STH->execute();

你也可以使用 exec() 完成相同的操作，這將減少調用。多數情況下，你會使用調用多的方法，以充分利用語句預處理的優勢。即使你只用它一次，使用語句預處理，幫助你保護你的 SQL 免於注入攻擊。

預處理語句

使用語句預處理將幫助你免於SQL注入攻擊。

一條預處理語句是一條預編譯的 SQL 語句，它可以使用多次，每次只需將數據傳至伺服器。其額外優勢在於可以對使用佔位符的數據進行安全處理，防止SQL注入攻擊。

你通過在 SQL 語句中使用佔位符的方法使用預處理語句。下面是三個例子：一個沒有佔位符，一個使用無名佔位符，一個使用命名佔位符。

1 # no placeholders - ripe for SQL Injection!

2 $STH = $DBH->("INSERT INTO folks (name, addr, city) values ($name, $addr, $city)");

3

4 # unnamed placeholders

5 $STH = $DBH->("INSERT INTO folks (name, addr, city) values (?, ?, ?);

6

7 # named placeholders

8 $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");

你希望避免第一種方法。選擇命名我無名佔位符將會對你對語句中數據的設置產生影響。

無名佔位符

01 # assign variables to each place holder, indexed 1-3

02 $STH->bindParam(1, $name);

03 $STH->bindParam(2, $addr);

04 $STH->bindParam(3, $city);

05

06 # insert one row

07 $name = "Daniel"

08 $addr = "1 Wicked Way";

09 $city = "Arlington Heights";

10 $STH->execute();

11

12 # insert another row with different values

13 $name = "Steve"

14 $addr = "5 Circle Drive";

15 $city = "Schaumburg";

16 $STH->execute();

這里有兩步。首先，我們對各個佔位符指定變數（2-4行）。然後，我們對各個佔位符指定數據，並執行語句。要發送另一組數據，只需改變這些變數的值並再次執行語句。

這種方法看上去對擁有很多參數的語句很笨拙吧？的確。然而，當數據保存於數組中時，這非常容易簡略：

1 # the data we want to insert

2 $data = array('Cathy', '9 Dark and Twisty Road', 'Cardiff');

3

4 $STH = $DBH->("INSERT INTO folks (name, addr, city) values (?, ?, ?);

5 $STH->execute($data);

容易吧！

數組中的數據按順序填入佔位符中。 $data[0]是第一個，$data[1]是第二個，依次。不過，要是數組中數據的次序不正確，這將不能正常運行，你需要先對數組排序。

命名佔位符

你可能已經開始猜測語法了，不過下面就是示例：

1 # the first argument is the named placeholder name - notice named

2 # placeholders always start with a colon.

3 $STH->bindParam(':name', $name);

你可以看使用快捷方式，但它需使用關聯數組。下面是示例：

1 # the data we want to insert

2 $data = array( 'name' => 'Cathy', 'addr' => '9 Dark and Twisty', 'city' => 'Cardiff' );

3

4 # the shortcut!

5 $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");

6 $STH->execute($data);

數組中的鍵不需要以冒號開頭，但其它部分需要同佔位符匹配。如果你有一個二維數組，你只需遍歷它，並對遍歷的每個數組執行語句。

命名佔位符的另一個好的功能是直接將對象插入到你的資料庫中，只要屬性同命名欄位匹配。下面是一個示例對象，以及如何將它插入到資料庫中的示例：

01 # a simple object

02 class person {

03 public $name;

04 public $addr;

05 public $city;

06

07 function __construct($n,$a,$c) {

08 $this->name = $n;

09 $this->addr = $a;

10 $this->city = $c;

11 }

12 # etc ...

13 }

14

15 $cathy = new person('Cathy','9 Dark and Twisty','Cardiff');

16

17 # here's the fun part:

18 $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");

19 $STH->execute((array)$cathy);

通過在執行時將對象轉換為數組，輸將將會同數組的鍵一樣對待。